Interview

Interview mit Dr. Frank Stummer, Business Development, Rhebo GmbH, Leipzig

Welche Herausforderungen sehen Sie für den produzierenden Mittelstand im Bereich IT-Sicherheit?

Der Übergang von serieller Kommunikation zu Ethernet und Co. und die zunehmende horizontale und vertikale Vernetzung in der Produktion auch der KMU bedeutet neue Herausforderungen für die Absicherung der Steuernetze. In der Vergangenheit ermöglichte die serielle (direkte) Anbindung der Produktionskomponenten eine verhältnismäßig hohe Sicherheit gegen äußere Eingriffe. Die IT-Sicherheit nahm daher keinen besonders großen Raum in der Strategie der Produktionsplanung ein. Aufgrund der Ablösung serieller Verbindungen durch Ethernet-basierende Technologien sowie der Integration der Produktions-IT, in manchen Bereichen auch Operational Technology (OT) genannt, in die Büro-IT, entstehen neue Anforderungen an die IT-Sicherheit in der Produktion. Die einst isolierten Steuer- und Kontrollnetze sind nun potenziellen Gefahren aus dem Netz, über WLAN oder aus der Büro-IT, ausgesetzt. Dies beeinflusst insbesondere Aspekte des Verfügbarkeitsmanagements sowie die IT-Sicherheitsstrategie in den Betrieben.

Welche Tipps haben Sie für die Entwicklung und Implementierung eines IT-Sicherheitskonzeptes für KMU?

Die zunehmende Vernetzung und die damit einhergehenden Herausforderungen sind nur die eine Seite. Die zunehmenden Chancen durch die Vernetzung mit Kunden und Lieferanten und die Nutzung neuer Konstruktions- und Produktionsmethoden ist die andere Seite – und die sehr viel wichtigere! So wie neue Methoden, neue Prozesse und auch neue Maschinen zielgerichtet geplant und eingeführt werden, sollte auch die IT-Sicherheit ein zu betrachtendes Ziel sein, so wie auch Leistungsparameter, Verfügbarkeit oder funktionale Sicherheit. Allgemein sollte es ein Sicherheits- oder Risikomanagement geben, in dem systematisch alle Bereiche des Unternehmens, die Prozesse und Anlagen erfasst und nach möglichen Bedrohungen (nicht nur aus der Cyberwelt) und deren Auswirkungen bewertet und Risikoeinschätzungen getroffen werden. Darauf aufbauend können unterschiedliche organisatorische und technische Maßnahmen ergriffen werden. Hilfestellungen können hier Richtlinien und Leitfäden der Branchenverbände geben, z. B. der “Leitfaden Industrie 4.0 Security” des VDMA.

Auf diese Weise kann schließlich ein Regelkreis aufgebaut werden aus organisatorischen und präventiven Maßnahmen (neben der systematischen Risikobetrachtung auch technische Maßnahmen wie Segmentierungen und Firewalls), Maßnahmen zur Erkennung von Anomalien (z.B. Monitoringsysteme und Intrusion Detection Systeme), Maßnahmen zur Reaktion (z. B. in der Anlagensteuerung) und ggf. Maßnahmen zur tieferen Aufklärung von Vorfällen. Daraus ergeben sich wiederum Anpassungen in der Organisation und Prävention.

Letztlich ist IT-Sicherheit keine losgelöste Anforderung und auch kein reiner Kostentreiber, sie ist integraler Bestandteil des Unternehmensmanagements. Die Verantwortung liegt bei der Unternehmensführung. Die wichtigste Aufgabe liegt in der Organisation, insbesondere dem Sicherheits- und Risikomanagement. IT-Abteilungen und Externe haben darauf aufbauend genügend technische Möglichkeiten, um für eine ausreichende Sicherheit, aber auch für hohe Verfügbarkeit und Leistungsfähigkeit zu sorgen.

Diesen Artikel teilen...